"ДБО BS-Client. Частный Клиент" v.2.4
Сеансовые ключи
Версия 2.4.0.4
1. Аннотация
Данный документ предназначен для администраторов системы.
Документ содержит информацию о принципах работы с аналогом собственноручной подписи клиента – Сеансовыми ключами.
СОДЕРЖАНИЕ:
1. Аннотация. 2
2. Принципы работы с сеансовыми ключами. 4
3. Работа клиента с сеансовыми ключами. 6
4. Подтверждение авторизации клиента сеансовыми ключами. 7
5. Самостоятельная генерация сеансовых ключей. 8
6. Порядок разрешения споров по операциям, осуществленным с помощью сеансовых ключей. 8
2. Принципы работы с сеансовыми ключами
Сеансовые ключи предназначаются для подтверждения проведения финансовых операций клиентом в системе «Частный Клиент». Носитель сеансовых ключей представляет собой пластиковую карту, конверт или иной физический носитель, содержащий набор паролей сеансовых ключей (собственно сеансовые ключи). Сеансовые ключи являются средством подтверждения финансовых операций или дополнительным средством авторизации клиента в системе. До момента начала использования, сеансовые ключи находятся на носителе в закрытом виде (под защитной пленкой, внутри запечатанного непрозрачного конверта и т. д.).
Использование сеансовых ключей основывается на статье 160 ГК РФ, в которой говорится, что при согласии сторон допускается использование аналогов собственноручной подписи клиента. При этом сеансовые ключи не являются ЭЦП и поэтому не подпадают под действие закона «Об электронной цифровой подписи».
Генерация сеансовых ключей должна осуществляться офицером безопасности Банка.
После генерации на печать выводится запись о сгенерированных комплектах сеансовых ключей, где указывается идентификатор комплекта, список ключей и пароль для привязки следующего комплекта сеансовых ключей.
Длина сеансового ключа всегда одинакова и уникальна в рамках одного носителя сеансовых ключей. Каждому носителю сеансовых ключей соответствует идентификатор – уникальная последовательность из цифр. Также каждому носителю сеансовых ключей соответствует пароль привязки следующего носителя сеансовых ключей – уникальная последовательность из цифр.
За один сеанс генерации может создаваться произвольное количество носителей.
В базе данных ключи не хранятся в открытом виде, хранится хеш-код пароля.
Первый комплект сеансовых ключей к учетной записи клиента привязывает оператор банка. При дальнейшей работе, клиент самостоятельно может привязать новый комплект сеансовых ключей, выданный ему в банке.
Рис. 1Активизация комплекта сеансовых ключей
3. Работа клиента с сеансовыми ключами
При подписи документа, на экране системы интернет-банкинга отображается номер неиспользованного сеансового ключа из привязанного комплекта. Пользователь находит и вводит соответствующий этому номеру сеансовый ключ. При корректном вводе ключ становится использованным и блокируется.
Если клиент три раза попытается ввести неправильный сеансовый ключ, то данный ключ будет заблокирован. А для подписи документа будет активизирован другой ключ из комплекта. Такая схема снижает возможность онлайнового подбора сеансового ключа. Количество попыток ввода может быть настроено в параметре Построителя InvalidTanKeyPasswordAttempt. (Построитель -> Структуры -> Интернет схемы -> 65 -> SUBSYS -> OPTIONS -> SecureOptions -> InvalidTanKeyPasswordAttempt).
Рис. 2Схема подписи документа с использованием сеансовых ключей
4. Подтверждение авторизации клиента сеансовыми ключами
Если необходимо использовать сеансовые ключи для дополнительной авторизации при входе в «Интернет клиент», то следует активизировать настройку «TanKeyAutorization» (Настройки -> Параметры системы -> Параметры авторизации). Тогда, после ввода клиентом, у которого в качестве аналога подписи выбраны сеансовые ключи, верного логина и пароля система дополнительно попросит вести сеансовый ключ.
Рис. 3Схема подтверждения авторизации клиента с использованием сеансовых ключей
5. Самостоятельная генерация сеансовых ключей
Генерация комплекта сеансовых ключей может осуществляться самостоятельно клиентом Банка в системе Интернет-клиент.
Самостоятельная генерация нового комплекта возможна, только если сеансовые ключи являются аналогом подписи для данного клиента и уже привязан комплект ключей. При генерации клиентом нового комплекта сеансовых ключей, он будет автоматически активизирован, а старый комплект будет заблокирован.
Для этого в «Интернет-клиенте» в разделе «Сервис» клиент выбирает пункт «Создать новый комплект ключей». Данный пункт присутствует, только если аналогом подписи являются сеансовые ключи. Подтверждает операцию сеансовым ключом из старого комплекта и переходит в форму со списком созданных ключей, где этот список необходимо распечатать.
Настройки самостоятельной генерации сеансовых ключей расположены в секции контролей «Генерация сеансовых ключей» (Настройки -> Настройки контролей -> Документы -> Запрос генерация сеансовых ключей).
Ветка | Зн-е по умолч. | Описание |
CheckOperator | Жестко | Проверять создание документа оператором. Дополнительное проверяет, что генерация ключей происходит не в подсистеме «Легкий фронт» |
CheckSignatureType | Жестко | Проверка аналога подписи - сеансовые ключи. Дополнительное проверяет, что в качестве аналога подписи у клиента указаны - сеансовые ключи. |
NumSessionKeys | 40 | Количество генерируемых сеансовых ключей в комплекте. Определяет количество сеансовых ключей в комплекте, генерируемом по запросу клиента. |
6. Порядок разрешения споров по операциям, осуществленным с помощью сеансовых ключей
1. При обнаружении спорной операции (электронного документа) с использованием сеансовых ключей Клиент вправе обратиться в Банк с целью ее опротестования. Опротестование операции возможно не позднее 30 календарных дней с момента ее проведения.
2. Указанное опротестование оформляется письменным заявлением в адрес Банка, составленным в произвольной форме и включающим в себя следующую информацию: ФИО Клиента; дата операции; вид операции; сумма операции; причина опротестования.
3. Банк в течение 10 рабочих дней рассматривает заявление Клиента и удовлетворяет претензию Клиента, либо направляет письменный ответ Клиенту о необоснованности его претензии.
4. В случае несогласия с заключением Банка Клиент направляет в Банк письменное уведомление о своем несогласии и требованием формирования конфликтной комиссии для разрешения споров. Конфликтная комиссия формируется на срок до 10 рабочих дней, в течение которого она должна установить правомерность и обоснованность претензии, а также, если необходимо, подлинность и авторство спорной операции.
5. В состав конфликтной комиссии входит равное количество представителей от каждой из Сторон, определяемых Сторонами самостоятельно. Право представлять соответствующую Сторону в комиссии должно подтверждаться доверенностью, выданной каждому представителю на срок работы комиссии.
6. Комиссия определяет, включая, но, не ограничиваясь, следующее:
· предмет разногласий на основании претензии Клиента и разъяснений Сторон;
· правомерность предъявления претензии на основании текста заключенного Договора и Приложений к нему;
· банковскую операцию, относящиеся к предмету разногласий;
· факт входа Клиента в Систему перед отправкой спорной операции;
· соответствие идентификатора комплекта сеансовых ключей, использованного Клиентом, идентификатору комплекта сеансовых ключей привязанному к клиенту в Банке, и правомерность его использования;
· дату и время поступления операции.
7. Стороны договариваются, что для разбора конфликтных ситуаций комиссия принимает на рассмотрение электронный документ и обязана использовать следующие, признаваемые Сторонами, эталонные данные:
· данные электронного архива принятых, отправленных документов;
· данные базы с информацией о комплектах сеансовых ключей;
· хранимую у Банка программу.
8. Комиссия должна удостовериться, что действия Сторон соответствовали Договору, действующему на момент создания спорной операции.
9. Подтверждением правильности исполнения Банком спорного документа является одновременное выполнение следующих условий:
· информация, содержащаяся в спорном документе, полностью соответствует действиям Банка по его исполнению;
· установлен факт входа Клиента в Систему, предшествующего отправке спорного документа в Банк;
· установлен факт проверки системой одноразового ключа, введенного клиентом.
В этом случае претензии Клиента к Банку, связанные с последствиями исполнения указанного документа, признаются необоснованными. Невыполнение любого из перечисленных условий означает, что корректность использования одноразового ключа, из комплекта сеансовых ключей и правильность исполнения документа не подтверждена, т. е. проверяемый документ подтвержден некорректным одноразовым ключом, либо документ не был правильно исполнен Банком. В этом случае претензии Клиента к Банку, связанные с последствиями исполнения указанного документа, признаются обоснованными.
10. Результаты экспертизы оформляются в виде письменного заключения - Акта конфликтной комиссии, подписываемого всеми членами комиссии. Акт составляется немедленно после завершения экспертизы. В Акте результаты проведенной экспертизы, а также все существенные реквизиты спорного электронного документа. Акт составляется в двух экземплярах - по одному для представителей Банка и Клиента. Акт комиссии является окончательным и пересмотру не подлежит.
11. Результат работы комиссии Стороны вправе оспорить в порядке, установленном действующим законодательством Российской Федерации. Акт, составленный конфликтной комиссией, является доказательством при дальнейшем разбирательстве спора в судебных органах.
